본문 바로가기

분류 전체보기69

APT Down: The North Korea Files 리뷰 지난 8월 8일 미국의 컴퓨터 보안 매거진 Phrack이 발간한 40주년 기념호(DEFCON 33)에 'APT Down: The North Korea Files'가 공개되었습니다. 해당 보고서는 Saber와 cyb0rg라는 2명의 해커가 작성하였으며, 확보한 8.9GB 크기의 VM 및 VPS 데이터 비영리조직 DDoSecrets와 연계하여 공개하였습니다. 한국 정부와 여러 기업을 지속적으로 해킹해온 정황과 타국가의 개입 가능성 등의 공격 운영 방식을 기반으로 북한 해커 그룹 Kimsuky라고 판단하였지만 국내 보안 전문가들은 다른 의견을 보였습니다.APT Down: The North Korea Files를 작성한 Saber와 cyb0rg는 이 아티클로 처음으로 등장한 해커입니다. 그들이 수집한 덤프에서 .. 2025. 8. 22.

북한 해커 조직 Andariel의 악성코드 오늘은 안다리엘 그룹과 그 악성코드에 대해 알아보겠습니다. 안다리엘(Andariel)안다리엘은 북한의 군사 정보기관인 정찰총국과 연계된 것으로 추정되는 국가 배후의 조직입니다. 라자루스(Lazarus) 그룹의 하위 클러스터로 분류되며 2009년경부터 활동한 것으로 알려져 있습니다. 최근 안다리엘은 신원을 도용한 IT 근로자로 취업하여 자금 확보 및 사이버 공격을 수행하였고, 이 사건의 혐의로 미국 재무부에서는 중심 역할을 수행한 안다리엘 구성원 송금혁(Song Kum Hyok)을 비롯한 위협 행위자들을 제재 대상으로 추가하며 대응하였습니다. NukeSpedNukeSped는 초기 안다리엘이 활용한 Volgmer에서 진화된 backdoor 악성코드입니다. 단순 원격 제어 역할을 하던 Volgmer에서 진.. 2025. 8. 11.

소명자료 문서로 위장한 LNK Dropper #Konni 오늘은 북한 Konni 그룹과 그 악성코드를 분석해보겠습니다. File hash :SHA256 - 2189aa5be8a01bc29a314c3c3803c2b8131f49a84527c6b0a710b50df661575eMD5 - 9d6c79c0b395cceb83662aa3f7ed0123Filename: 첨부1_소명자료 목록(탈세제보).hwp.lnk LNK는 실행되면 파워쉘 스크립트를 통해 내부 데이터를 XOR 복호화하여 저장 및 실행합니다.LNK 파일에서 0x1DA5부터 0x6C00만큼의 데이터를 XOR 복호화한 후, LNK 파일명과 같은 이름으로 현재 위치에 저장하고 실행합니다. 그리고 원본 LNK 파일은 삭제합니다. 복호화되어 실행되는 HWP는 소명자료 관련 내용으로 위장된 미끼 문서입니다. GSl.. 2025. 8. 1.

안보전략연구원을 사칭하여 유포되는 LNK 악성코드 분석 #Kimsuky 북한의 해커 그룹 kimsuky 소행으로 추정되는 LNK 악성코드입니다. LNKFile hash :SHA256 - ccb6ca4cb385db50dad2e3b7c68a90ddee62398edb0fd41afdb793287cfbe8e6MD5 - 443a00feeb3beaea02b2fbcd4302a3c9 악성코드는 내부 데이터를 추출하여 1개의 한글 파일에 추가로 3개의 파일로 저장하고 실행합니다. 한글 문서는 북한이탈주민의 남한정착을 위한 아카데미 관련 내용입니다. 추가로 생성되는 3개의 파일은 각각 쉘코드, 파워쉘 스크립트, BAT 파일입니다.aio01.dat 파일: 쉘코드 aio02.dat 파일: 파워쉘 스크립트파워쉘 스크립트는 쉘코드 데이터(aio01.dat 파일)를 XOR 복호화합니다. 그리고 복호.. 2025. 7. 25.

CJ Olivenetworks社 인증서를 악용하는 Golang 악성코드 분석 #Kimsuky 오늘은 CJ Olivenetworks 회사의 인증서를 악용하여 악성 행위를 수행하는 Go 악성코드를 분석해보겠습니다. EXE 분석 (Dropper)File hash :SHA256 - 123AEFE0734DA130B475BFDAD6C3EBE49688569AB8310E71EC5252EC46CB67EBMD5 - 7EC88818697623A0130B1DE42FA31335 샘플은 GO로 작성된 PE64 파일입니다. 그리고 CJ Olivenetworks 이름의 인증서로 서명되어 있습니다. 해당 파일을 실행해보니 자기 자신은 삭제하고 정상적인 내용의 PDF 파일을 생성 및 출력합니다. AlphaGolang 스크립트를 적용하고 main 함수부터 분석해보겠습니다. 악성코드는 golang embed 기능으로 내장된.. 2025. 7. 22.

Golang 악성코드 분석 #Kimsuky 오늘은 북한 해커 그룹 Kimsuky 소행으로 추측되는 Go 언어 기반 악성코드를 분석해보겠습니다. File hash :SHA256 - a4a8dc0f13ddacfad3e0ef8929aac9453759f5e77d9222412ca637bec32320d0MD5 - 920F408FDC80C5697739CDA9CF9A4CA7 샘플은 Go로 작성된 PE64 파일입니다. capa를 통해 확인해보면 흥미로운 정보들이 많습니다. AlphaGolang 스크립트를 적용하고 main 함수부터 분석해보겠습니다. 악성코드는 실행되면 먼저 main_ChangeCurrentExe 함수를 통해 자기 자신의 위치를 파악합니다. 해당 위치와 같은 경로에 BMSGTray.exe 이름의 파일을 생성한 후, 내부 저장되어 있던 PE.. 2025. 6. 16.

이전 1 2 3 4 ··· 12 다음

티스토리툴바